向OkHttp客户端添加自定义证书

Question

向OkHttp客户端添加自定义证书

8

我正在尝试制作一个Android应用程序，可以获取并解析HTML（从没有API的网站）。我正在使用OkHttp。该网站具有不受信任（但有效）的证书。我正在收到以下错误信息：

java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

我已经按照官方方式设置好了（https://developer.android.com/training/articles/security-ssl#java），现在需要将其与 OkHttpClient 链接起来。

我尝试过

    OkHttpClient client = new OkHttpClient;

    OkHttpClient.Builder builder = client.newBuilder();
    builder.sslSocketFactory(sslcontext.getSocketFactory()).build();

但是它不起作用，而且它已经过时了。谢谢。

- Makalone LOgman

请参考以下内容：https://futurestud.io/tutorials/retrofit-2-how-to-trust-unsafe-ssl-certificates-self-signed-expired - Dhaval Parmar

3个回答

2

OkHttp 4.7.1 支持特定的不安全主机，仅供开发使用

https://square.github.io/okhttp/changelog/

https://github.com/square/okhttp/blob/482f88300f78c3419b04379fc26c3683c10d6a9d/samples/guide/src/main/java/okhttp3/recipes/kt/DevServer.kt

  val clientCertificates = HandshakeCertificates.Builder()
      .addPlatformTrustedCertificates()
      .addInsecureHost(server.hostName)
      .build()

  val client = OkHttpClient.Builder()
      .sslSocketFactory(clientCertificates.sslSocketFactory(), clientCertificates.trustManager)
      .build()

- Yuri Schimke

-3

仅用于调试。使用此代码意味着信任任何证书，这与根本不使用https一样危险。

您需要使用未被弃用的sslSocketFactory(SSLSocketFactory sslSocketFactory, X509TrustManager trustManager)方法。

使用此变量（创建不验证证书链的信任管理器）：

TrustManager[] trustAllCerts = new TrustManager[] {
    new X509TrustManager() {
        @Override
        public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
        }
    }
};

并以以下方式传递给sslSocketFactory()：

builder.sslSocketFactory(sslSocketFactory, (X509TrustManager)trustAllCerts[0]);

同样适用于验证每个主机：

builder.hostnameVerifier(new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        return true;
    }
});

- Luca Nicoletti

14

这是一条糟糕的“标准”建议。原始报告称它具有“不受信任（但有效）的证书”，因此解决方案应该是将该证书或签名CA证书添加到信任库中。问题标题是“OkHTTP客户端添加自定义证书”。 - Yuri Schimke

1

@YuriSchimke 我通常会对生产/预生产/开发进行检查。当然，我只在调试目的时使用这些代码部分，而不是在生产环境中。 - Luca Nicoletti

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Yuri Schimke · Accepted Answer

查看此文档化示例以添加已知的受信任证书

https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/recipes/CustomTrust.java

  public CustomTrust() {
    X509TrustManager trustManager;
    SSLSocketFactory sslSocketFactory;
    try {
      trustManager = trustManagerForCertificates(trustedCertificatesInputStream());
      SSLContext sslContext = SSLContext.getInstance("TLS");
      sslContext.init(null, new TrustManager[] { trustManager }, null);
      sslSocketFactory = sslContext.getSocketFactory();
    } catch (GeneralSecurityException e) {
      throw new RuntimeException(e);
    }

    client = new OkHttpClient.Builder()
        .sslSocketFactory(sslSocketFactory, trustManager)
        .build();
  }